Configura Private Service Connect para una instancia de destino

Descripción general

En esta página, se describe cómo configurar Database Migration Service para migrar tus cargas de trabajo de Oracle a Cloud SQL para PostgreSQL con la dirección IP privada de la instancia de Cloud SQL de destino. Las conexiones privadas permiten que Database Migration Service acceda a los servicios sin pasar por Internet ni usar direcciones IP externas.

Database Migration Service usa Private Service Connect para conectarse a tu instancia de Cloud SQL con una dirección IP privada. Con Private Service Connect, puedes exponer tu base de datos de destino a conexiones seguras entrantes y controlar quién puede acceder a ella.

Private Service Connect para instancias de Cloud SQL habilitadas para PSC

Si creas tu instancia de destino de Cloud SQL con Private Service Connect habilitado, puedes usar la conectividad de IP privada sin ninguna configuración de red adicional. Cuando crees el perfil de conexión de la base de datos de destino, solo debes asegurarte de lo siguiente:

  • Usa el nombre de DNS de tu instancia de Cloud SQL en lugar del nombre de host del destino.

  • Solo para el acceso programático a través de Google Cloud CLI o la API: Especifica de forma explícita el adjunto de servicio de tu destino en la solicitud (el servicio de migración de bases de datos lo hace automáticamente cuando creas perfiles de conexión en la consola de Google Cloud).

Private Service Connect para instancias de Cloud SQL que no están habilitadas para PSC

Para exponer un servicio con Private Service Connect para instancias de Cloud SQL que no son de PSC, crea un adjunto de servicio en tu proyecto. Puedes usar ejemplos de secuencias de comandos de gcloud y Terraform en la sección Crea la configuración del productor de Private Service Connect para crear los recursos necesarios.

Si una máquina virtual (VM) de bastión no es suficiente para tus necesidades de red, configura un grupo de instancias para la configuración del productor de red. Para obtener más información, consulta Conectividad de red en servicios administrados.

En el siguiente diagrama, se muestran los diversos recursos de procesamiento y red que usa Database Migration Service para configurar la conectividad privada a tu instancia de Cloud SQL.

Configuración de Private Service Connect

El trabajador de Database Migration Service es una unidad de procesamiento interna a cargo de la migración de Database Migration Service. Usa una regla de reenvío saliente de Private Service Connect para enviar el tráfico del trabajador a la red de VPC en la que reside la VM de bastión.

Los recursos clave que las secuencias de comandos te ayudan a crear son los siguientes:

  • Un adjunto de servicio: Es un recurso que expone un servicio reenviando el tráfico a su servicio de destino. En el diagrama, el servicio de destino es una regla de reenvío entrante.
  • Una regla de reenvío entrante: Es un reenviador de tráfico que enruta el tráfico entrante del archivo adjunto del servicio a un destino dedicado (por ejemplo, una VM o un grupo de instancias). En el diagrama, la regla reenvía el tráfico a una VM de bastión.
  • Una VM de bastión: Es una VM con dos controladores de interfaz de red (NIC), uno de los cuales está conectado a la red dedicada de Private Service Connect y el otro a la red con la que tiene intercambio de tráfico la instancia de Cloud SQL. El bastión ejecuta un servidor SOCKS de Dante, que se usa para reenviar las conexiones de forma segura. Las secuencias de comandos de ejemplo crean una red y subredes dedicadas en la red de Private Service Connect por ti.

El Google Cloud proyecto que usas para publicar tu servicio con el adjunto de servicio es el productor de servicios. El consumidor de servicios es Database Migration Service.

Para obtener más información sobre Private Service Connect, su configuración y arquitectura, consulta la documentación de Private Service Connect.

Crea la configuración del productor de Private Service Connect

Puedes usar las siguientes secuencias de comandos para crear la configuración de Private Service Connect y conectarte a tu instancia de Cloud SQL de destino. Si tienes problemas durante la configuración de la conectividad, consulta las páginas de solución de problemas de conectividad.

La siguiente secuencia de comandos de Bash usa Google Cloud CLI para crear la configuración del productor de Private Service Connect para la base de datos de destino. Ten en cuenta que es posible que debas ajustar algunos valores predeterminados, por ejemplo, los rangos CIDR de la subred de Private Service Connect.


# Create the VPC network for the Database Migration Service Private Service Connect.
gcloud compute networks create dms-psc-vpc \
--project=PROJECT_ID \

# Create a subnet for the Database Migration Service Private Service Connect.
gcloud compute networks subnets create dms-psc-REGION \
--project=PROJECT_ID \
--range= --network=dms-psc-vpc \

# Create a router required for the bastion to be able to install external
# packages (for example, Dante SOCKS server):
gcloud compute routers create ex-router-REGION \
--network dms-psc-vpc \
--project=PROJECT_ID \

gcloud compute routers nats create ex-nat-REGION \
--router=ex-router-REGION \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--enable-logging \
--project=PROJECT_ID \

# Create the bastion VM.
gcloud compute instances create BASTION \
    --project=PROJECT_ID \
    --zone=ZONE \
    --image-family=debian-11 \
    --image-project=debian-cloud \
    --network-interface subnet=dms-psc-REGION,no-address \
    --network-interface subnet=DB_SUBNETWORK,no-address \

# Route the private IP address using the gateway of the database subnetwork.
# Find the gateway for the relevant subnetwork on the VPC network page
# in the Google Cloud console. Click VPC networks and select the database VPC
# to see the details.

# Install Dante SOCKS server.
apt-get install -y dante-server

# Create the Dante configuration file.
touch /etc/danted.conf

# Create a proxy.log file.
touch proxy.log

# Add the following configuration for Dante:
cat > /etc/danted.conf << EOF
logoutput: /proxy.log
user.privileged: proxy
user.unprivileged: nobody

internal: port = PORT
external: ens5

clientmethod: none
socksmethod: none

client pass {
        log: connect error disconnect
client block {
        log: connect error
socks pass {
        protocol: tcp
        log: connect error disconnect
socks block {
        log: connect error

# Start the Dante server.
systemctl restart danted

tail -f proxy.log'

# Create the target instance from the created bastion VM.
gcloud compute target-instances create bastion-ti-REGION \
--instance=BASTION \
--project=PROJECT_ID \
--instance-zone=ZONE \

# Create a forwarding rule for the backend service.
gcloud compute forwarding-rules create dms-psc-forwarder-REGION \
--project=PROJECT_ID \
--region=REGION \
--load-balancing-scheme=internal \
--network=dms-psc-vpc \
--subnet=dms-psc-REGION \
--ip-protocol=TCP \
--ports=all \
--target-instance=bastion-ti-REGION \

# Create a TCP NAT subnet.
gcloud compute networks subnets create dms-psc-nat-REGION-tcp \
--network=dms-psc-vpc \
--project=PROJECT_ID \
--region=REGION \
--range= \

# Create a service attachment.
gcloud compute service-attachments create dms-psc-svc-att-REGION \
--project=PROJECT_ID \
--region=REGION \
--producer-forwarding-rule=dms-psc-forwarder-REGION \
--connection-preference=ACCEPT_MANUAL \

# Create a firewall rule allowing the Private Service Connect NAT subnet.
# access the Private Service Connect subnet
gcloud compute \
--project=PROJECT_ID firewall-rules create dms-allow-psc-tcp \
--direction=INGRESS \
--priority=1000 \
--network=dms-psc-vpc \
--action=ALLOW \
--rules=all \
--source-ranges= \

# Print out the created service attachment.
gcloud compute service-attachments describe dms-psc-svc-att-REGION \
--project=PROJECT_ID \

Reemplaza lo siguiente:

  • PROJECT_ID: Es el proyecto en el que creas la configuración del productor de Private Service Connect.
  • REGION: Es la región en la que creas la configuración del productor de Private Service Connect.
  • ZONE: Es una zona dentro de REGION en la que creas todos los recursos zonales (por ejemplo, la VM de bastión).
  • BASTION: Es la VM de bastión que se creará.
  • DB_SUBNETWORK: Es la subred a la que se reenviará el tráfico. La subred debe tener acceso a la instancia de Cloud SQL.
  • DB_SUBNETWORK_GATEWAY: Es la puerta de enlace IPv4 de la subred.
  • CLOUD_SQL_INSTANCE_CONNECTION_NAME: El nombre de la conexión de la instancia de Cloud SQL (con el formato project:region:name).
  • PORT: Es el puerto que usará el bastión para exponer la base de datos subyacente.
  • CLOUD_SQL_INSTANCE_PRIVATE_IP: la dirección IP privada de la instancia de Cloud SQL.

Los siguientes archivos se pueden usar en un módulo de Terraform para crear la configuración del productor de Private Service Connect para la base de datos de destino. Es posible que debas ajustar algunos valores predeterminados, por ejemplo, los rangos CIDR de la subred de Private Service Connect.

variable "project_id" {
  type        = string
  description = <<DESC
The Google Cloud project in which the setup is created. This should be the same project as
the one that the Cloud SQL instance belongs to.

variable "region" {
  type        = string
  description = "The Google Cloud region in which you create the Private Service Connect
regional resources."

variable "zone" {
  type        = string
  description = <<DESC
The Google Cloud zone in which you create the Private Service Connect zonal resources
(should be in the same region as the one specified in the "region" variable).

variable "cloud_sql_instance_name" {
  type        = string
  description = "The Cloud SQL instance name."

variable "port" {
  type        = string
  description = "The port that the bastion will use to expose the underlying database."
  default     = "5432"

variable "cloud_sql_instance_network" {
  type        = string
  description = <<DESC
The VPC to which the Cloud SQL instance is peered. This is where the bastion will
forward connections to (the destination database needs to be accessible in this VPC).

/* To execute the call:
terraform apply
-var="cloud_sql_instance_network=CLOUD_SQL_INSTANCE_NETWORK" */

locals {
  cloud_sql_instance_connection_name = "${var.project_id}:${var.region}:${var.cloud_sql_instance_name}"

# Needed for getting the private IP address of the Cloud SQL instance.
data "google_sql_database_instance" "csql_instance" {
  name    = var.cloud_sql_instance_name
  project = var.project_id

# Needed for getting the IPv4 gateway of the subnetwork for the database.
data "google_compute_subnetwork" "db_network_subnet" {
  name    = var.cloud_sql_instance_network
  project = var.project_id
  region  = var.region

resource "google_compute_network" "psc_sp_network" {
  name                    = "dms-psc-network"
  project                 = var.project_id
  auto_create_subnetworks = false

resource "google_compute_subnetwork" "psc_sp_subnetwork" {
  name    = "dms-psc-subnet"
  region  = var.region
  project = var.project_id

  network =
  # CIDR range can be lower.
  ip_cidr_range = ""

resource "google_compute_subnetwork" "psc_sp_nat" {
  provider = google-beta
  name     = "dms-psc-nat"
  region   = var.region
  project  = var.project_id

  network =
  # CIDR range can be lower.
  ip_cidr_range = ""

resource "google_compute_service_attachment" "psc_sp_service_attachment" {
  provider = google-beta
  name     = "dms-psc-svc-att"
  region   = var.region
  project  = var.project_id

  enable_proxy_protocol = false
  connection_preference = "ACCEPT_MANUAL"
  nat_subnets           = []
  target_service        =

resource "google_compute_forwarding_rule" "psc_sp_target_direct_rule" {
  name       = "dms-psc-fr"
  region     = var.region
  project    = var.project_id
  network    =
  subnetwork =

  load_balancing_scheme = "INTERNAL"
  ip_protocol           = "TCP"
  all_ports             = true

  target =


resource "google_compute_target_instance" "psc_sp_target" {
  provider = google-beta
  name     = "dms-psc-fr-target"
  zone     =
  instance =
  network  =

resource "google_compute_instance" "psc_sp_bastion" {
  name           = "dms-psc-cloud-sql-bastion"
  project        = var.project_id
  machine_type   = "e2-medium"
  zone           =
  can_ip_forward = true

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"

  # The incoming NIC defines the default gateway which must be the Private Service Connect subnet.
  network_interface {
    network    =
    subnetwork =

  # The outgoing NIC which is on the same network as the Cloud SQL instance.
  network_interface {
    network =

  metadata_startup_script = <<SCRIPT


# Route the private IP address of the database using the gateway of the database subnetwork.
# To find the gateway for the relevant subnetwork, go to the VPC network page
# in the Google Cloud console. Click VPC networks, and select the database VPC
# to see the details.
ip route add ${data.google_sql_database_instance.csql_instance.private_ip_address} \
via ${data.google_compute_subnetwork.db_network_subnet.gateway_address}

# Install Dante SOCKS server.
apt-get install -y dante-server

# Create the Dante configuration file.
touch /etc/danted.conf

# Create a proxy.log file.
touch proxy.log

# Add the following configuration for Dante:
cat > /etc/danted.conf << EOF
logoutput: /proxy.log
user.privileged: proxy
user.unprivileged: nobody

internal: port = ${var.port}
external: ens5

clientmethod: none
socksmethod: none

client pass {
        log: connect error disconnect
client block {
        log: connect error
socks pass {
        to: ${data.google_sql_database_instance.csql_instance.private_ip_address}/32
        protocol: tcp
        log: connect error disconnect
socks block {
        log: connect error

# Start the Dante server.
systemctl restart danted

tail -f proxy.log


# Required firewall rules:

/* Firewall rule allowing the Private Service Connect NAT subnet to access
the Private Service Connect subnet. */
resource "google_compute_firewall" "psc_sp_in_fw" {
  name    = "dms-psc-ingress-nat-fw"
  project = var.project_id
  network =

  log_config {
    metadata = "INCLUDE_ALL_METADATA"

  allow {
    protocol = "all"

  priority  = 1000
  direction = "INGRESS"
  source_ranges = [google_compute_subnetwork.psc_sp_nat.ip_cidr_range]

/* The router that the bastion VM uses to install external packages
(for example, Dante SOCKS server). */

resource "google_compute_router" "psc_sp_ex_router" {
  name    = "dms-psc-external-router"
  project = var.project_id
  region  = var.region
  network =

resource "google_compute_router_nat" "psc_sp_ex_router_nat" {
  name    = "dms-psc-external-router-nat"
  project = var.project_id
  region  = var.region
  router  =

  nat_ip_allocate_option             = "AUTO_ONLY"
  source_subnetwork_ip_ranges_to_nat = "ALL_SUBNETWORKS_ALL_IP_RANGES"

  log_config {
    enable = true
    filter = "ERRORS_ONLY"

# The Private Service Connect service attachment.
output "service_attachment" {
  value =